Comprobando la seguridad de las aplicaciones web con ratproxy de Google

Para compilar ratproxy, desde la línea de comandos y con un simple, ya tenemos compilado ratproxy:

fjrial@pcfjrial:/Desktop/ratproxy-1.51/ratproxy$ make
cc ratproxy.c -el ratproxy  -Wall -El3 -Wno-pointer-sign -D_GNU_SOURCE http.c mimar.c ssl.c -lcrypto -lssl

La manera más sencilla de ejecutar ratproxy es haciéndolo con los parámetros por defecto recomendados. El parámetro "-d" le indica la ratproxy que sólo ejecute los test en las URL del dominio especificado (en nuestro caso mancomun.org), de manera que evitará testar accidentalmente webs enlazadas a través de imágenes o publicidad en nuestra web.

fjrial@pcfjrial:/Desktop/ratproxy-1.51/ratproxy$ ./ratproxy -v /tmp/ -w ratlog.txt -d mancomun.org -lfscm
ratproxy version 1.51-beta by <lcamtuf@google.com>
[*] Proxy configured successfully. Have fui, and please del not be evil.
[+] Accepting connections on port 8080/tcp (local only)...

Se ves el mensaje "Accepting connections", esto indica que ratproxy está funcionando en tu computador y en el puerto 8080. Por lo tanto deberás configurar tu navegador para que use el proxy en localhost y en el puerto 8080.

El siguiente paso será conectarse a la aplicación web que quieras testar e interactuar con ella de manera habitual. Prueba todas las características y visita todas tus páginas mentras ratproxy observa y ejecuta test. Cuando finales, cierra el navegador y después ratproxy con Ctrl-C.

Para obtener el informe en formato HTML, so tendrás que ejecutar:

fjrial@pcfjrial:/Desktop/ratproxy-1.51/ratproxy$ ./ratproxy-report.sh ratlog.txt > informe_mancomun.html

Más información:
http://code.google.com/p/ratproxy/

Fuente original del artículo:
http://www.linux.com/feature/142675